Websecurity - Веб безпека

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://vvadm.gov.ua - інфікований державний сайт - інфекція була виявлена 16.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://statuspress.com.ua - інфекція була виявлена 27.10.2012. Зараз сайт не входить до переліку підозрілих.
• http://vsveta.com.ua - інфекція була виявлена 21.01.2013. Зараз сайт входить до переліку підозрілих.
• http://troeschina.com - інфекція була виявлена 23.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://b-52.kiev.ua - інфекція була виявлена 23.11.2012. Зараз сайт не входить до переліку підозрілих.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Video Lead Form, Dailyedition mouss та Ads Box. Для котрих з’явилися експлоіти. Video Lead Form - це плагін для розміщення форми замовлення у відео, Dailyedition mouss - це тема движка, Ads Box - це плагін для розміщення реклами.

• Video Lead Form Plugin Cross-Site Scripting Vulnerabilities which affects Wordpress URL (деталі)
• WordPress Dailyedition-mouss SQL Injection (деталі)
• WordPress Ads Box SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

30.08.2012

У серпні, 16.08.2012, я виявив Full path disclosure, Directory Traversal та Cross-Site Scripting уразливості в плагіні Floating Tweets для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в Rokbox.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

11.01.2013

Full path disclosure (WASC-13):

http://site/wp-content/plugins/floating-tweets/dcwp_floating_tweets.php
http://site/wp-content/plugins/floating-tweets/dcwp_floating_tweets_widget.php
http://site/wp-content/plugins/floating-tweets/skin.php?skin=1

Directory Traversal (Windows) (WASC-33):

http://site/wp-content/plugins/floating-tweets/skin.php?widget_id=2&skin=1\1

DT дозволяє зчитувати лише css-файли (в папці /skins/ та підпапках). При відключених mq можна використати Null Byte Injection, що дозволить через DT зчитувати довільні файли.

XSS (persistent XSS) (WASC-08):

Три persistent XSS дірки. Для атаки потрібно обійти захист від CSRF (параметр savewidgets). Наприклад, використовуючи reflected XSS.

Floating Tweets XSS.html

Floating Tweets XSS-2.html

Floating Tweets XSS-3.html

Приклади атак для даних трьох XSS на IE7 та попереді версії. З використанням MouseOverJacking можна атакувати будь-які браузери (при цьому жертва повинна зробити рух мишкою). Код спрацює одразу при відправці запита і в подальшому при відвідуванні http://site/wp-admin/widgets.php.

Floating Tweets XSS-4.html

Приклад атаки на будь-які браузери. Код виконається на головній і будь-якій зовнішній сторінці сайта.

Уразливі Floating Tweets 1.0.1 та попередні версії.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://www.kyivobljust.gov.ua (хакерами з Ashiyane Digital Security Team) - 31.08.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.chernihiv.mns.gov.ua (хакером TURK KURSUNU) - 02.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://agrex.gov.ua (хакером FaiSaL404) - 06.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://www.s-p.com.ua (хакером Franky)
• http://www.p-planet.net (хакером hacker) - 07.01.2013, зараз сайт вже виправлений адмінами

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Simple Gmail Login, List Communities та ArribaLaEsteban. Для котрих з’явилися експлоіти. Simple Gmail Login - це плагін для аутентифікації через логін і пароль до Gmail, List Communities - це плагін для створення спільнот, ArribaLaEsteban - це тема движка.

• Wordpress Plugin Simple Gmail Login Stack Trace Vulnerability (деталі)
• WordPress List Communities SQL Injection (деталі)
• WordPress ArribaLaEsteban SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://isc.gov.ua - інфікований державний сайт - інфекція була виявлена 16.11.2012. Зараз сайт входить до переліку підозрілих.
• http://dsmu.com.ua - інфекція була виявлена 21.11.2012. Зараз сайт не входить до переліку підозрілих.
• http://morevse.com.ua - інфекція була виявлена 26.12.2012. Зараз сайт входить до переліку підозрілих.
• http://afhelp.in.ua - інфекція була виявлена 07.01.2013. Зараз сайт не входить до переліку підозрілих.
• http://hobby-games.com.ua - інфекція була виявлена 04.01.2013. Зараз сайт не входить до переліку підозрілих.

Наближається 2013 рік і я поздоровляю вас з Новим Роком!

Бажаю всього найкращого вам, бажаю безпеки вам, вашим сайтам і веб додаткам .

Слідкуйте за безпекою власних сайтів і тоді з ними нічого поганого не трапиться. І вони будуть надійно працювати та приносити радість вам і вашим відвідувачам.

І для гарного святкового настрою можете послухати композицію Delight (Mix) з мого нового альбому.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Facebook Survey, FireStorm Real Estate та Madebymilk. Для котрих з’явилися експлоіти. Facebook Survey - це плагін для проведення опитування на FB, FireStorm Real Estate - це плагін для розміщення списків нерухомості, Madebymilk - це тема движка.

• WordPress Facebook Survey SQL Injection (деталі)
• WordPress FireStorm Real Estate 2.06.08 SQL Injection (деталі)
• WordPress Madebymilk SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я вже писав про численні уразливості в численних темах для WordPress виробництва RocketTheme. Окрім тем Afterburner, Refraction, Solarsentinel, Mixxmag, Iridium, Infuse, Perihelion, Replicant2, Affinity, Nexus, Sentinel, Mynxx Vestnikp, Mynxx, Moxy, Terrantribune, Meridian є ще інші уразливі теми (шаблони).

Я написав про 16 їхніх тем (серед яких було два різновиди двох тем), а всього у них 47 тем для WordPress. З них лише три безкоштовні, а всі інші теми від RocketTheme є платними (потрібно купити підписку в “клуб”, щоб отримати до них доступ). І Rokbox постачається з усіма цими темами, окрім Grunge, які мають всі раніше згадані уразливості.

В цих 32 темах, як і попередніх 16 (14 тем + 2 різновиди), мають місце Cross-Site Scripting, Content Spoofing, Full path disclosure та Information Leakage уразливості. Про що вже повідомив розробникам цих тем. Це наступні шаблони від RocketTheme: Voxel, Diametric, Ionosphere, Clarion, Halcyon, Visage, Enigma, Momentum, Radiance, Camber, Reflex, Modulus, Nebulae, Entropy, Tachyon, Mercado, Maelstrom, Syndicate, Paradox, Hybrid, Omnicron, Zephyr, Panacea, Somaxiom, Juxta, Quantive, Crystalline, Kinetic, Dominion, Reaction, Akiraka, Novus. А також шаблон Grunge має FPD дірки.

Content Spoofing (WASC-12):

http://site/wordpress/wp-content/themes/rt_novus_wp/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wordpress/wp-content/themes/rt_novus_wp/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wordpress/wp-content/themes/rt_novus_wp/js/rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wordpress/wp-content/themes/rt_novus_wp/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

XSS (WASC-08):

http://site/wordpress/wp-content/themes/rt_novus_wp/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Full path disclosure (WASC-13):

У всіх цих темах є FPD в index.php (http://site/wordpress/wp-content/themes/rt_novus_wp/ і так само для інших тем), що спрацьовує при налаштуваннях PHP по замовчуванню. Також FPD потенційно є в інших php-файлах цих тем.

Information Leakage (WASC-13):

В деяких темах, подібно до rt_mixxmag_wp, може бути розміщений error log з FPD.

http://site/wordpress/wp-content/themes/rt_mixxmag_wp/js/rokbox/error_log

Уразливі всі версії всіх вищенаведених тем для WordPress.

Після попереднього дослідження похаканих сайтів, приведу нову інформацію про взломані сайти. З числа українських сайтів.

• http://konkurs.amu.gov.ua (хакером LaMiN3 DK) - 03.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://itbase.amu.gov.ua (хакером LaMiN3 DK) - 03.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://sforum.amu.gov.ua (хакером LaMiN3 DK) - 03.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://amu.gov.ua (хакером LaMiN3 DK) - 03.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://tfmg.amu.gov.ua (хакером LaMiN3 DK) - 03.09.2012 - похаканий державний сайт, зараз сайт вже виправлений адмінами
• http://abort-info.com.ua (хакерами з 1923TURK GRUP)
• http://www.dabi.com.ua (хакерами з 1923TURK GRUP)
• http://etrus.com.ua (хакером EvilEs CyberBitirici) - причому спочатку сайт 25.11.2012 був взломаний EvilEs CyberBitirici, а вже 08.12.2012 він був взломаний 1923TURK GRUP, зараз сайт вже виправлений адмінами. Схоже, що сайт постійно хакається, як і деякі інші сайти в Уанеті
• http://svitelt.com.ua (хакерами з Dark Elite Cr3w)
• http://intercars.zp.ua (хакерами з 1923TURK GRUP)